整理一下有关客户上云VPC网络规划的最佳实践系列文章,希望能够给大家提供一些技术上的干货,供大家参考。
什么是VPC
VPC,是Virtual Private cloud英文缩写,中文的意思是虚拟私有云,最早是云计算鼻祖AWS提出来的,后来的云服务商都沿用了VPC的术语。
具体来说,VPC指的是一种云(Cloud),这与它的字面意思相符。对于基础架构服务(IaaS),云就是指资源池。
你或许听过公有云(Public Cloud),私有云(Private Cloud),混合云(Hybrid Cloud)。不过,VPC不属于这三种云中任一种。
这是一种运行在公有云上,将一部分公有云资源为某个用户隔离出来,给这个用户私有使用的资源的集合。
VPC是这么一种云,它由公有云管理,运行在公共资源上,但是保证每个用户之间的资源是隔离,用户在使用的时候不受其他用户的影响,感觉像是在使用自己的私有云一样。
从这种意义上看,VPC不是网络,我们可以对比VPC和它一个字面上相近的概念:VPN(Virtual Private Network)。
VPN在公共的网络资源上虚拟隔离出一个个用户网络,例如IPsec VPN可以是在互联网上构建连接用户私有网络的隧道,MPLS VPN更是直接在运营商的PE设备上划分隔离的VRF给不同的用户。
从提供服务的角度来,说如果VPC指的只是网络的话,那它跟VPN的概念是重复的。所以,从公有云所提供的服务来说,VPC应该理解成,向用户提供的隔离资源的集合。
VPC最早是由AWS在2009年提出[1],不过VPC的一些组成元素在其提出之前就已经存在。VPC只是将这些元素以私有云的视角重新包装了一下。
在VPC之后,云主机只能使用VPC内部的对应的元素。从这个角度看,VPC更像是公有云服务商以打包的形式提供服务。
用户可以在公有云上创建一个或者多个VPC,每个部门一个VPC。对于需要连通的部门创建VPC连接。
VPC的隔离性
默认情况下VPC与VPC之间是逻辑上的隔离,注意不是物理隔离。
天翼公有云的计算独享型、计算存储独享型专属云产品,虽然计算/存储是物理隔离的,但与其它租户之间的隔离依然是通过VPC实现,也就是说,与公有云的其他租户之间实现不了真正的物理隔离。
去年遇到一个项目,客户需要在云上部署内网应用与互联网应用,要求两者之间物理隔离,省里给出的方案是:分别创建部署内网应用和互联网应用的VPC,两者之间使用物理网闸设备实现物理隔离和数据摆渡。
但是因为VPC之间本质是逻辑隔离的,即使用了物理网闸,可以通过对等连接(Peering)技术路由打通,绕过了物理网闸实现互通,也就达不到物理隔离的效果。
等我介入到这个项目的时候,网闸已经上架加电了,尽管我好说歹说,但最终放弃使用网闸的原因,还是因为客户担心应用过网闸会影响到整体的访问性能。
VPC对等连接
默认情况下VPC与VPC之间是不通的,但有些情况下,我们需要VPC之间互相通信。
好比两个大楼有各自独立的局域网,通过楼间光缆将原本独立的局域网互通,同样,我们可以采用对等连接的功能(Peering connection),来实现VPC之间的相互通信。
VPC之间的互通既可以是同一租户内的VPC,也可以是不同租户之间的。
下面我们看来一下对等连接的原理:
下面这张图是对等连接逻辑拓扑图,清楚地显示了对等连接是通过路由实例打通来实现VPC之间的互通。
在公有云场景下,每个CNA节点(host节点),都会有分布式vRouter集群(DVR),通过VxLAN网络,形成一个巨大的分布式vRouter集群。
当我们需要实现两个VPC路由打通时,我们需要更新对应router实例的流表,就能实现通信,如下图所示:
VPC的基础能力
1、子网(Subnet)
一个VPC可以划分为多个subnet,默认情况下,同一VPC内的所有子网内的主机均可以通信。
子网之间如果想要实现访问控制,需要用到ACL技术。
2、安全组(Security Group)
我们通过安全组创建规则(rule)来实现主机实例层面的访问控制,也就是说可以实现同一VPC内不同子网之间的云主机互相访问。
注意安全组不能跨VPC。
3、访问控制列表(ACL)
如果我们希望实现子网级别的访问控制,能够控制进、出一个或多个子网的流量,就需要访问控制列表ACL技术。
比如MySQL数据库所在的子网,只允许面向应用放开TCP协议3306端口,就需要创建ACL并配置访问策略来实现。
注意,VPC之间通过对等连接打通后,可以通过ACL实现不同VPC的子网之间的访问控制。
